Rapid7 MDR ha documentato lo sfruttamento attivo di CVE-2026-0257, una vulnerabilità di autenticazione che colpisce PAN-OS e Prisma Access di Palo Alto Networks. Gli attaccanti hanno dimostrato che è possibile forgiare cookie di autenticazione validi usando solo la chiave pubblica estratta dal certificato TLS dell’appliance esposta su Internet — senza credenziali, senza accesso fisico. Il 29 maggio 2026 la vulnerabilità è stata aggiunta al catalogo CISA KEV (Known Exploited Vulnerabilities).
Il problema: autenticazione override senza verifica della firma
La feature “authentication override” di GlobalProtect permette al portal o gateway di emettere cookie che gli utenti già autenticati possono riutilizzare nelle sessioni successive — un meccanismo simile ai bearer token. La vulnerabilità nasce da un difetto nel modo in cui questi cookie vengono validati lato server.
Quando un appliance è configurato in modo che il certificato usato per cifrare/decifrare i cookie di override sia lo stesso certificato usato per il servizio HTTPS del portal o gateway, si crea un problema critico: la chiave pubblica di quel certificato è accessibile pubblicamente a chiunque si connetta all’appliance. Chiunque conosca la chiave pubblica può forgiare un cookie di autenticazione arbitrario. Sul lato server, il cookie viene decifrato, ma il contenuto viene accettato implicitamente senza alcuna verifica della firma.
Il risultato pratico: un attaccante non autenticato può stabilire una connessione VPN come qualsiasi utente — incluso l’account admin locale — senza conoscere alcuna credenziale.
La cronologia degli attacchi osservati
Rapid7 ha identificato due distinte ondate di sfruttamento nelle settimane successive alla pubblicazione del bollettino Palo Alto (13 maggio 2026).
Prima ondata — 17-18 maggio 2026: Rapid7 MDR ha rilevato un alert “Suspicious VPN Authentication – Local Account Logon via Generic Non-Human Identity” su più ambienti cliente. L’analisi ha rilevato autenticazioni via cookie all’account admin locale provenienti da IP associati all’hosting provider Vultr, con un hostname client di GP-CLIENT e sistema operativo Linux.
# Log GlobalProtect - Prima ondata (18 maggio 2026)
<14>May 18 01:51:37 palovpn-01 1,2026/05/18 01:51:37,010101010101,GLOBALPROTECT,0,2817,
2026/05/18 01:51:37,vsys1,gateway-auth,login,Cookie,,admin,US,
GP-CLIENT,104.207.144.154,0.0.0,0.0.0.0,0.0.0.0,
aa:bb:cc:dd:ee:ff,,6.0.0,,Linux,"linux-64",1,,,
"Auth latency: 78ms, profile: local_auth_profile",success,,0,,0,
GP-Gateway,0101010101010101010,0x0,2026-05-18T01:51:37.264-05:00Seconda ondata — 21 maggio 2026: Una seconda serie di attacchi è partita da IP associati a Dromatics Systems. L’elemento comune che ha permesso a Rapid7 di attribuire entrambe le ondate allo stesso threat actor è il MAC address spoofato aa:bb:cc:dd:ee:ff — un placeholder generico che non corrisponde a nessuna scheda di rete reale. In questa seconda ondata, in 2 casi su 10 l’appliance ha concesso anche l’assegnazione di un IP VPN, dando all’attaccante accesso alla rete interna.
# Log GlobalProtect - Seconda ondata (21 maggio 2026)
<14>May 21 01:54:39 FW-PA-A 1,2026/05/21 01:54:38,010101010101,GLOBALPROTECT,0,2818,
2026/05/21 01:54:38,vsys1,gateway-auth,login,Cookie,,admin,US,
DESKTOP-GP01,146.19.216.125,0.0.0.0,0.0.0.0,0.0.0.0,
aa:bb:cc:dd:ee:ff,,6.0.0,Windows,"Microsoft Windows 10 Pro , 64-bit",1,,,
"Auth latency: 1019ms, profile: SAML-o365-GP",success,,0,,0,
GlobalProtect_External_Gateway,0101010101010101010,0x8000000000000000,
2026-05-21T01:54:39.142-05:00Il proof-of-concept pubblico: forge_cookie.py
Rapid7 Labs ha sviluppato e pubblicato su GitHub uno script Python che automatizza il test di vulnerabilità. Lo script scarica la catena di certificati dall’appliance target, itera su ogni certificato estraendone la chiave pubblica, forgia un cookie di autenticazione per ciascuna chiave e verifica quale viene accettata dal gateway GlobalProtect. La disponibilità pubblica del PoC abbassa significativamente la barriera d’ingresso per gli attaccanti.
# Utilizzo di forge_cookie.py (PoC pubblico Rapid7)
$ python3 forge_cookie.py --target 192.168.86.99 --user haxor
[*] Retrieving certificate chain from 192.168.86.99:443 ...
Found 2 certificate(s) in chain:
[0] CN=192.168.86.99 (RSA 2048 bits, CA=False)
[1] CN=GP-Lab-CA (RSA 2048 bits, CA=True)
[*] Forging cookie for user 'haxor', testing each key
Trying [0] CN=192.168.86.99
[-] Failure - Gateway did not accepted the forged cookie
Trying [1] CN=GP-Lab-CA
[+] Success - Gateway accepted the forged cookie
Cookie: ng9ygxlaclylNXeSHcakXZPK06Fno0svVirz6RhRtA5m...Versioni vulnerabili e mitigazione
La vulnerabilità è presente in PAN-OS 10.2, 11.1, 11.2 e 12.1, nonché in Prisma Access 10.2.0 e 11.2.0, nelle versioni precedenti alle patch rilasciate da Palo Alto Networks. La condizione di vulnerabilità richiede che la feature “authentication override” sia abilitata e che il certificato usato per i cookie venga condiviso con il servizio HTTPS del portal/gateway.
Le mitigazioni prioritarie sono: aggiornare immediatamente alle versioni patchate indicate nel bollettino ufficiale; in alternativa, disabilitare la feature authentication override; oppure generare un certificato dedicato esclusivamente a quella feature, senza condividerlo con altri servizi. Anche con la vulnerabilità non patchata, quest’ultima opzione neutralizza il vettore di attacco.
Indicatori di compromissione (IoC)
# IP attaccanti osservati da Rapid7
104.207.144.154 # Vultr - Prima ondata
146.19.216.119 # Dromatics Systems - Seconda ondata
146.19.216.120 # Dromatics Systems
146.19.216.125 # Dromatics Systems
# MAC address spoofato (comune ad entrambe le ondate)
aa:bb:cc:dd:ee:ff
# Hostname client osservati nei log GlobalProtect
GP-CLIENT # Linux, prima ondata (17-18 maggio)
DESKTOP-GP01 # Windows, seconda ondata (21 maggio)
# Versioni PAN-OS vulnerabili (esempi)
PAN-OS 10.2.8
PAN-OS 12.1.4-h6
# Script PoC
forge_cookie.py (https://github.com/sfewer-r7/CVE-2026-0257)Il report completo con la technical analysis della funzione main_DecryptAppAuthCookie e le detection rule per InsightIDR è disponibile sul blog di Rapid7. Il bollettino ufficiale Palo Alto è consultabile su security.paloaltonetworks.com.